CVE-2026-41719: Spring Data KeyValue - SpEL Injection vulnerability in SpelPropertyComparator 漏洞概述 Spring Data KeyValue 中存在一个 SpEL 注入漏洞,当未经验证的用户输入作为 参数传递给委托给 的存储库查询方法时,该漏洞会被触发。 影响范围 Spring Data KeyValue: - 4.0.0 到 4.0.5 - 3.5.0 到 3.5.11 - 3.4.0 到 3.4.14 - 3.3.0 到 3.3.16 - 3.2.0 到 3.2.15 - 3.1.0 到 3.1.14 - 3.0.0 到 3.0.15 - 2.7.0 到 2.7.19 - 旧的不受支持的版本 Spring Data Redis (通过 Spring Data KeyValue): - 4.0.0 到 4.0.5 - 3.5.0 到 3.5.11 - 3.4.0 到 3.4.14 - 3.3.0 到 3.3.16 - 3.2.0 到 3.2.15 - 3.1.0 到 3.1.14 - 3.0.0 到 3.0.15 - 2.7.0 到 2.7.19 - 旧的不受支持的版本 修复方案 受影响版本的应升级到 Spring Data KeyValue 的对应修复版本: 参考链接 NVD CVSS v3 Calculator 历史 2026-06-09: 初始漏洞报告发布。